Comment puis-je migrer d'AWS WAF Classic vers AWS WAF et quelle est la durée d’indisponibilité pendant la migration ?

Résolution

Remarque : Avant de commencer votre migration, consultez la section Mises en garde et limites concernant la migration.

Utilisez l'une des options suivantes pour migrer d'AWS WAF Classic vers AWS WAF.

Migration manuelle

Utilisez la migration manuelle pour des déploiements AWS WAF simples. Une migration manuelle recrée les ressources AWS WAF Classic dans AWS WAF. La migration peut entraîner des incohérences dans la gestion des requêtes jusqu'à ce qu'elle soit terminée.

Pour effectuer une migration manuelle, procédez comme suit :

1. Configurez AWS WAF.
2. Suivez les étapes décrites dans la section Migration d'une liste ACL Web : basculement.
3. Vérifiez votre nouvelle liste de contrôle d'accès Web (liste ACL Web) et mettez à jour sa configuration si nécessaire.

Security Automations for AWS WAF (automatisée)

Utilisez Security Automations for AWS WAF afin de migrer automatiquement vers AWS WAF. Cette solution utilise AWS CloudFormation. Puis, attachez la nouvelle liste ACL Web à une ressource prise en charge, telle que :

• Distribution Amazon CloudFront
• API REST Amazon API Gateway
• Application Load Balancer
• API GraphQL AWS AppSync
• Groupe d'utilisateurs Amazon Cognito
• Service AWS App Runner
• Instance d'accès vérifié AWS

Ce processus de migration n'entraîne aucune durée d’indisponibilité. Il est recommandé de tester et de régler vos protections AWS WAF avant de mettre en œuvre les règles en production.

Remarque : Lorsque vous utilisez Security Automations for AWS WAF pour effectuer une migration depuis AWS WAF Classic, vous ne devez pas utiliser l'assistant de migration AWS WAF Classic. Pour plus d'informations, consultez la section Mises en garde et limites concernant la migration.

Pour utiliser Security Automations for AWS WAF afin de déployer une nouvelle liste ACL Web, procédez comme suit :

1. Ouvrez Security Automations for AWS WAF.
2. Dans Options de déploiement, sélectionnez Lancer dans la console AWS.
3. Pour Région, choisissez la région AWS dans laquelle vous souhaitez créer vos ressources AWS WAF.
4. Pour Créer une pile, utilisez les paramètres par défaut, puis sélectionnez ** Suivant**.
5. Saisissez un Nom de pile et sélectionnez les Paramètres correspondant à votre cas d'utilisation. Pour plus d'informations sur les Paramètres, reportez-vous à l’étape 1. Lancez la pile.
   Remarque : Vous devez choisir un Type de point de terminaison correspondant à la ressource qui se trouve actuellement dans AWS WAF Classic. Si vous utilisez l'API REST API Gateway ou l'Application Load Balancer, sélectionnez ALB.
6. Sélectionnez Suivant.
7. (Facultatif) Configurez les options de pile ou utilisez les paramètres par défaut. Puis, sélectionnez Suivant.
8. Vérifiez votre configuration. Puis, confirmez que CloudFormation créera des ressources AWS Identity and Access Management (IAM) dans votre compte.
9. Sélectionnez Créer une pile.

CloudFormation crée une nouvelle pile contenant toutes les ressources nécessaires à l'automatisation de la sécurité, y compris une nouvelle liste ACL Web AWS WAF.

Remarque : La nouvelle liste ACL Web n'est automatiquement associée à aucune ressource AWS.

Pour terminer la migration vers AWS WAF, vous devez associer manuellement la liste ACL Web AWS WAF à vos ressources AWS. Ce processus dissocie automatiquement la ressource AWS de la liste ACL Web AWS WAF Classic. Une fois que vous avez associé la ressource à la nouvelle liste ACL Web AWS WAF, les règles de la liste ACL Web inspectent les requêtes entrantes.

Une fois que vous avez migré vers AWS WAF, il est recommandé de vérifier votre nouvelle liste ACL Web et de mettre à jour sa configuration si nécessaire.

Remarque : Vous devrez peut-être recréer manuellement les règles existantes qui ne peuvent pas être migrées automatiquement. Pour plus d'informations, consultez la section Migration d'une liste ACL Web : suivi manuel.

Assistant de migration AWS WAF Classic (automatisé)

Utilisez l'assistant de migration AWS WAF Classic pour migrer automatiquement les ressources AWS WAF Classic existantes vers AWS WAF. Dans certains cas, vous ne devez pas utiliser l'assistant de migration AWS WAF Classic. Pour plus d'informations, consultez la section Mises en garde et limites concernant la migration.

Ce processus de migration n'entraîne aucune durée d’indisponibilité. Il est recommandé de tester et de régler vos protections AWS WAF avant de mettre en œuvre les règles en production.

Pour utiliser l'assistant de migration AWS WAF Classic afin de déployer une nouvelle liste ACL Web, procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sélectionnez Basculer vers AWS WAF Classic.
3. Dans le volet de navigation, sélectionnez Listes ACL Web, puis Assistant de migration.
4. Pour Liste ACL Web, choisissez la région dans laquelle vous souhaitez créer vos ressources AWS WAF. Puis, choisissez la liste ACL Web AWS WAF Classic que vous souhaitez migrer.
5. Pour Configuration de la migration, sélectionnez Créer un nouveau. Cette action entraîne la création d’un nouveau compartiment S3 que CloudFormation utilise lors de la migration.
   Remarque : Le compartiment S3 doit se trouver dans la même région que la liste ACL Web et son nom doit commencer par le préfixe aws-waf-migration-.
   Il est recommandé d'utiliser l’option Appliquer automatiquement la stratégie de compartiment requise pour la migration afin d’éviter les problèmes d'autorisation.
6. Pour Choisir comment gérer les règles qui ne peuvent pas être migrées, choisissez l'option qui correspond le mieux à vos besoins.
   Remarque : Il est recommandé d'utiliser l’option Exclure les règles qui ne peuvent pas être migrées pour poursuivre la migration. Cependant, vous devez créer manuellement des règles qui ne peuvent pas être migrées automatiquement.
7. Sélectionnez Suivant.
8. Sélectionnez Commencer à créer un modèle CloudFormation.
9. Sélectionnez Créer une pile CloudFormation.
10. Pour Créer une pile, utilisez les paramètres par défaut, puis sélectionnez ** Suivant**.
11. Saisissez un Nom de pile, puis choisissez les Paramètres correspondant à votre cas d'utilisation. Pour plus d'informations sur les Paramètres, reportez-vous à l’étape 1. Lancez la pile.
    Remarque : Vous devez choisir un Type de point de terminaison correspondant à la ressource qui se trouve actuellement dans AWS WAF Classic. Si vous utilisez l'API REST API Gateway ou l'Application Load Balancer, sélectionnez ALB.
12. Sélectionnez Suivant.
13. (Facultatif) Configurez les options de pile ou utilisez les paramètres par défaut. Puis, sélectionnez Suivant.
14. Vérifiez votre configuration, puis sélectionnez Créer une pile.

CloudFormation crée une nouvelle pile avec toutes les ressources migrées depuis AWS WAF Classic, y compris une nouvelle liste ACL Web AWS WAF.

Remarque : La nouvelle liste ACL Web n'est automatiquement associée à aucune ressource AWS.

Pour terminer la migration vers AWS WAF, vous devez associer manuellement la liste ACL Web AWS WAF à vos ressources AWS. Ce processus dissocie automatiquement la ressource AWS de la liste ACL Web AWS WAF Classic. Une fois que vous avez associé la ressource à la nouvelle liste ACL Web AWS WAF, les règles de la liste ACL Web inspectent les requêtes entrantes.

Une fois que vous avez migré vers AWS WAF, il est recommandé de vérifier votre nouvelle liste ACL Web et de mettre à jour sa configuration si nécessaire.

Remarque : Vous devrez peut-être recréer manuellement les règles existantes qui ne peuvent pas être migrées automatiquement. Pour plus d'informations, consultez la section Migration d'une liste ACL Web : suivi manuel.

Informations connexes

Migration de vos règles d’AWS WAF Classic vers le nouvel AWS WAF